La réglementation américaine de l’IA est un ensemble disparate. Tout d’abord, les lois existantes à tous les niveaux s’appliquent aux systèmes d’IA. En ce qui concerne les règles générales applicables à l’IA, le AI Risk Management Framework faisant autorité du NIST est volontaire, le décret exécutif de l’administration Biden sur l’IA digne de confiance, ainsi que les orientations de suivi du OMB, ne s’appliquent qu’au gouvernement fédéral, et le Colorado est actuellement le seul État à réglementer largement les systèmes d’IA. D’autres juridictions — comme New York City et l’Illinois — ont réglementé des cas d’usage spécifiques de l’IA, tels que le recrutement automatisé.

À ce jour, les orientations et actions de la Federal Trade Commission américaine (« FTC ») offrent l’image la plus claire de la manière dont le gouvernement fédéral attend des entreprises qu’elles déploient des systèmes d’IA. Les récentes orientations de la FTC ont cherché à répondre rapidement à l’actualité. En février, la FTC a finalisé une règle interdisant l’utilisation de deepfakes d’IA pour usurper l’identité d’organisations ou d’agences gouvernementales. Le même mois, elle a mis en garde les entreprises d’IA contre toute modification furtive de leurs conditions d’utilisation avec effet rétroactif. Ces actions s’ajoutent à son examen, sous l’angle du droit de la concurrence, des investissements et acquisitions réalisés par de grandes entreprises technologiques. En mai, Lina Khan, présidente de la FTC, a rédigé une tribune dans le New York Times, exposant l’approche qu’elle propose pour la réglementation de l’IA.

‍

Pourquoi l’affaire Rite Aid de décembre a-t-elle été si importante ?

En décembre 2023, la FTC a annoncé un accord transactionnel avec la chaîne de pharmacies Rite Aid. Selon une plainte de la FTC, Rite Aid avait « utilisé la technologie de reconnaissance faciale dans des centaines de ses pharmacies de détail afin d’identifier des clients qu’elle avait auparavant jugés susceptibles de commettre des vols à l’étalage ou d’autres comportements criminels ». Dans le cadre de cet accord, Rite Aid a accepté de s’abstenir de déployer des systèmes de reconnaissance faciale pendant cinq ans dans ses magasins physiques ou en ligne, et de supprimer les photos et vidéos de clients qui avaient été utilisées à tort dans des systèmes de reconnaissance faciale, y compris les « données, modèles et algorithmes » dérivés d’une telle utilisation.

‍

‍

Quelles sont les implications pour les organisations qui utilisent l’IA ?

L’accord conclu par la FTC avec Rite Aid était notable pour deux raisons. Premièrement, il a illustré l’interprétation que la FTC donne de la discrimination liée à l’IA. Deuxièmement, il a confirmé le recours continu à la suppression des modèles comme mesure de réparation.

Discrimination liée à l’IA

S’agissant de la discrimination liée à l’IA, la FTC a noté que le déploiement des systèmes de reconnaissance faciale par Rite Aid ne tenait pas compte des taux élevés de faux positifs selon les groupes démographiques. Elle a également indiqué que le profil des magasins retenus pour le déploiement de la reconnaissance faciale aurait eu un effet discriminatoire disproportionné sur les groupes minoritaires.

Suppression des modèles

La FTC a également imposé la suppression des modèles, une mesure de réparation relativement récente qu’elle a initiée en 2019, et qui exige d’une organisation qu’elle supprime les données, modèles et algorithmes issus de systèmes d’IA utilisés de manière inappropriée. Depuis 2019, la FTC a déjà exigé la suppression des modèles dans de nombreux dossiers, notamment ceux liés à Cambridge Analytica, Everalbum, WW (anciennement Weight Watchers) et Ring. Il est probable que la FTC exigera la suppression des modèles dans de futures actions d’application de la loi relatives à l’IA.

Enseignements

Voici quelques enseignements que les organisations devraient tirer de l’épisode Rite Aid :

·     Procéder à des évaluations des risques liés à l’IA

·     Mettre en place des programmes de formation complets pour les employés supervisant des systèmes d’IA à haut risque

·     Prendre en compte le contexte du déploiement de l’IA, y compris les effets discriminatoires potentiels

·     Examiner les jeux de données sous l’angle de l’exactitude, des biais et de l’adéquation à l’usage prévu

·     Faire preuve de transparence auprès des personnes quant à l’utilisation de leurs données

·     Réfléchir avec soin à la manière dont les systèmes d’IA sont décrits au public et aux régulateurs, ainsi qu’à l’étendue de cette description

·     Évaluer les pratiques des fournisseurs en matière de confidentialité et d’IA responsable

‍

Enzai est là pour vous aider

Le produit d’Enzai peut aider votre entreprise à déployer l’IA conformément aux meilleures pratiques ainsi qu’aux réglementations, normes et cadres émergents, tels que l’EU AI Act, le Colorado AI Act, le NIST AI RMF et l’ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.

Enzai est la principale plateforme de gouvernance de l’IA d’entreprise, spécialement conçue pour aider les organisations à passer de politiques abstraites à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire de l’IA complet et garantir la conformité à l’EU AI Act. En automatisant des flux de travail complexes, Enzai permet aux entreprises d’accélérer l’adoption de l’IA en toute confiance, tout en restant alignées sur les normes mondiales telles que ISO 42001 et NIST.